True SSO 機能により、ユーザーはスマート カード、RADIUS、または RSA SecurID 認証を使用して VMware Workspace ONE Access にログインできます。また、ユーザーがリモート デスクトップまたはアプリケーションを初めて起動するときでも、Active Directory 認証情報を求められなくなりました。
以前のリリースでは、SSO(シングル サインオン)は、以前に Active Directory 認証情報で認証されていないユーザーが最初にリモート デスクトップを起動したとき、またはアプリケーションを公開したときに Active Directory 認証情報をユーザーに求めることで機能していました。この認証情報がキャッシュされ、これによりユーザーは認証情報を再度入力せずに、以降の起動を行うことができました。True SSO では、一時的な証明書が作成され、Active Directory 認証情報の代わりに使用されます。
VMware Workspace ONE Access の SAML 認証を構成するプロセスは変わっていませんが、True SSO では 1 つの手順が追加されています。True SSO が有効になるように VMware Workspace ONE Access を構成する必要があります。
前提条件
- シングル サインオンがグローバル設定として有効になっていることを確認します。Horizon Console で、[設定] > [グローバル設定] を選択し、[Single Sign On (SSO)] が [有効] に設定されていることを確認します。
-
VMware Workspace ONE Access がインストールされ、構成されていることを確認します。https://docs.vmware.com/jp/VMware-Workspace-ONE-Access/index.html にある VMware Workspace ONE Access のドキュメントを参照してください。
- Connection Server ホストに、SAML サーバ証明書用の認証局 (CA) が署名したルート証明書がインストールされていることを確認します。VMware では、自己署名の証明書を使用するように SAML 認証子を構成することは推奨されません。『Horizon 8 インストールとアップグレード』ドキュメントにある「Horizon Server 用の SSL 証明書の構成」の章のトピック「ルート証明書と中間証明書を Windows 証明書ストアにインポートする」を参照してください。
- VMware Workspace ONE Access サーバ インスタンスの FQDN を書き留めます。
手順
次のタスク
- Connection Server のメタデータの有効期間を延長して、リモート セッションが 24 時間経過後に終了されないようにします。Connection Server でのサービス プロバイダ メタデータの有効期間の変更を参照してください。
- vdmutil コマンドライン インターフェイスを使用して、Connection Server の True SSO を構成します。True SSO のための Horizon Connection Server の構成を参照してください。
SAML 認証の仕組みの詳細については、SAML 認証の使用を参照してください。